FACULTAD DE INGENIERÍA Y ARQUITECTURA

ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS

Mejoramiento de SGSI para la financiera OH S.A.

AUTOR(ES):

Bustos Macedo, Christian Javier (0000-0002-1855-4998)

Chumacero Huaman, Clever Alexander (0000-0002-1962-0088)

Pacherres Paredes, Miguel Adrian (0000-0002-7247-3814)

Ramirez Ramos, Miguel Pablo(0000-0002-5006-848X)

Ramos Curi, Ever Jacob (0000-0003-3107-3328)

ASESOR(A)(ES):

Ing. Otiniano Meza, Ruben Dario

LÍNEA DE INVESTIGACIÓN:

Auditoria de sistemas y seguridad de la información

LIMA — PERÚ

2022
DEDICATORIA

El presente trabajo de investigación está

dedicado primeramente a Dios. Asimismo, a
nuestras familias, amigos y colegas por el
apoyo incondicional que nos brindan.
AGRADECIMIENTO

Primero que todo, agradecemos a nuestras

familias por el apoyo incondicional, al docente,
el cual nos orientó a realizar un excelente
trabajo de investigación y a cada uno de
nuestros compañeros por el apoyo mutuo.

ÍNDICE
RESUMEN
ABSTRACT
I. INTRODUCCIÓN
II. MARCO TEÓRICO
III. MÉTODO
IV. RESULTADOS
V. DISCUSIÓN
VI. CONCLUSIONES
VII. RECOMENDACIONES
REFERENCIAS
ANEXOS

RESUMEN
El presente trabajo de investigación se enfocará en establecer los lineamientos para
asegurar una adecuada gestión para el proyecto de mejora de un Sistema de
Gestión en Seguridad de la Información(SGSI). Para la financiera Oh S.A. Basado
en las buenas prácticas para la dirección de proyectos propuestas por el Project
Management Institute (PMI). Inicialmente se presenta una visión general de la
entidad donde se pretende implementar el proyecto.

Luego se presenta información sobre el marco metodológico para realizar el

proyecto y los estudios previos para iniciar el desarrollo del mismo. Posteriormente
se hará referencia a la información necesaria para dar inicio al proyecto y los planes
de gestión para su desarrollo.

ABSTRACT
This research work will focus on establishing the guidelines to ensure adequate
management of the project to improve an Information Security Management System
(ISMS). For the financier Oh S.A. Based on the good practices for project
management proposed by the Project Management Institute (PMI). Initially, a
general vision of the entity where the project will be implemented is presented.

Then information is presented on the methodological framework to carry out the

project and the previous studies to start its development. Subsequently, reference
will be made to the information necessary to start up the project and the
management plans for its development.

I. INTRODUCCIÓN
Durante estos últimos años y a medida que la tecnología se desarrolla más, los
datos se han convertido en la principal pieza de seguridad de las empresas e
instituciones. De esta manera, la seguridad de datos también se ha ido mejorado,
esto se ha iniciado para poder garantizar que toda información relacionada a las
entidades tenga un grado suficiente de seguridad con respecto a la confidencialidad,
integridad y disponibilidad. Este es uno de los recursos más importantes y un activo
principal que cuentan las diversas instituciones que en la actualidad son los datos.
Del mismo modo, estos son fundamentales para la supervivencia de cualquier
organización No importa cómo dónde se encuentra la información o cómo se
almacena o comunica se debe proteger adecuadamente.

Con el advenimiento de la tecnología, las personas buscan constantemente las

herramientas que le hagan la vida más fácil. Aquí está la información almacenada
en un sistema informático que usted haya aceptado valor mundial, por lo que la
cantidad de dispositivos electrónicos y al mismo tiempo los usuarios acceden a este
sistema a través de la red.

Actualmente en la empresa Financiera Oh S.A. viene recuperándose del fuerte

golpe económico que dejó la pandemia COVID 19, ante ello, ha implementado en
sus diversos establecimientos como mejora de su servicio, módulos de autoatención
al servicio del cliente.

Mediante un análisis dentro de la financiera OH. Hemos podido detectar un

problema potencial de inseguridad cibernética en los procesos que se llevan a cabo
para la actualización de datos de un cliente. Dado que es muy importante tener en
cuenta esta actividad, ya que en los nuevos módulos de autoatención
implementados, el cliente utiliza su usuario y contraseña de su aplicativo móvil como
filtro de seguridad para ser atendido, así para cambiar el password del cliente se
realiza a través de un mensaje de confirmación que puede llegar al correo
electrónico o número de celular.

Para actualizar el correo electrónico se realiza con tan solo dar un clic en un botón y
editar el nuevo correo del cliente sin tener ningún filtro de ciberseguridad más que
verificar el DNI del cliente que se está atendiendo. De modo que actualmente se
reciben muchos reclamos por consumos no reconocidos y muchos otros casos, que
trabajadores de esta financiera han detectado, como DNI adulterados o
suplantados. Pues personas inescrupulosas se hacen pasar por clientes potenciales
y aprovechan este déficit de seguridad para cometer actos ilícitos de suplantación
de identidad y fraudes con tarjetas de créditos.

Por otro lado, también detectamos un problema de confidencialidad de usuarios. De

manera que en Financiera oh S.A todos los trabajadores que ejercen en el área de
plataforma o servicio al cliente manejan un usuario personal, el cual identifica las
acciones que cada colaborador realiza en el sistema de la empresa. Tanto
supervisores como asesores tienen este identificador que debe ser de carácter
intransferible y secreto. Pero un gran porcentaje de colaboradores realiza malas
prácticas de manejos de usuarios, pues comparten sus usuarios en el día a día de
sus labores. Lo cual conlleva a un problema para la empresa y la auditoría de
procesos de sistemas.

Como último problema detectado en Financiera oh, es el correo corporativo utilizado

por todo el personal de la empresa, si bien es cierto esta herramienta es muy
importante para la empresa pues se utiliza para la comunicación y envíos de
archivos importantes. Se puede estar ante una entrada de un posible ataque
cibernético hacia la empresa o robo de información valiosa y confidencial de esta
misma. Pues este correo corporativo puede ser abierto desde cualquier dispositivo
electrónico y solo tiene que ser validado con el password del colaborador. Lo cual la
salida de información interna puede ser inminente. Pues en los últimos meses se ha
detectado el robo de información como datos confidenciales de los clientes, y solo
un caso de un intento de ataque cibernético donde un colaborador abrió un correo
enviado por un tercero desde la red interna de la empresa.
Esta investigación describe, identifica, y determina la relación en esta interrogante
¿De qué manera influye el mejoramiento de un Sistema de Gestión en Seguridad
de la Información (SGSI) en el área de Plataforma de atención al cliente de la
empresa financiera OH S.A , 2022?

Y para concretar, esta investigación será realizada con los asesores de crédito del
área de atención al cliente, permitiendo poder ver la realidad problemática mediante
instrumentos de investigación.

El objetivo general de nuestra investigación es: Mejorar el Sistema de Gestión en

Seguridad de Ia Información en el área de plataforma, dentro la financiera Oh. Así
mismo, dentro de los objetivos específicos de esta investigación buscamos:
Identificar la matriz de análisis de riesgo dentro de financiera oh; Determinar las
falencias del SGSI actual de financiera oh y finalmente Realizar una mejora del
SGSI de financiera oh evitando pérdidas financieras a causa de los fraudes
bancarios.

Con ello se busca dar certeza a nuestra hipótesis general de que si existe relación
entre el mejoramiento del sgsi y la seguridad en la empresa financiera oh, en los
nuevos módulos de autoatención de servicio al cliente.

Y por lo cual nuestra justificación a está presente investigación se enfocará que

realizar un mejoramiento del sgsi en una empresa evita pérdidas financieras, daños
a la reputación de la organización. De manera que es importante contar con un buen
sistema que permita gestionar los riesgos de forma controlada. Debido a la alta
demanda de la tecnología hoy en día hay mucha información almacenada en la red
que se ve afectada en las seguridad de los clientes con graves problemas de
inseguridad cibernética además del uso irresponsable que hacen los usuarios en
sus datos. De esta manera el presente trabajo permitirá mostrar los cambios en las
mejoras de la empresa identificando riesgos y falencias causadas por los fraudes
bancarios aplicando las herramientas de la norma ISO 27001 la cual ayudará a
administrar el buen funcionamiento del SGSI.
II. MARCO TEÓRICO

2.1. Antecedentes
2.1.1. Nacionales
Milton Niño (2018). Menciona en su tesis titulada, “Modelo de un sistema de
gestión de seguridad de información – SGSI, para fortalecer la
confidencialidad, integridad, disponibilidad y monitorear los activos de
información para el instituto nacional de estadística e informática – INEI
FILIAL Lambayeque.” desarrollada en la Universidad Nacional Pedro Ruiz
Gallo, tuvo como objetivos, modelar un sistema de gestión de seguridad de
información (SGSI) que permita fortalecer la confidencialidad, integridad,
disponibilidad y monitorear los activos de información en los procesos claves,
además, realizar un diagnóstico de la situación actual de la seguridad de
información en la institución ODEI Lambayeque.

Castillo Collazos (2016) en su tesis titulada “sistema de gestión de seguridad

de la información en la municipalidad distrital de Pira aplicando la norma
ISO/IEC 27001:2013”. tuvo como objetivo en evaluar el sistema de gestión de
seguridad de la información en la Municipalidad Distrital de Pira basado en la
norma ISO/IEC 27001:2013; para una mejor administración en los activos de
información, identificar la existencia de los riesgos considerando la seguridad
de la información, evaluar los mecanismos de seguridad, localizando los
problemas, todo ello, apoyado de metodología MAGERIT V.03. el estándar
que permitió evaluar los riesgos de la seguridad de información, con el
objetivo de determinar en qué condiciones se encuentran y si están alineadas
con los objetivos del negocio garantizando la integridad de su información
para el beneficio de la Municipalidad.

Los investigadores Rojas, Cinthia y Zavaleta, Tefhany (2019) mencionan en

su tesis titulada “Sistema de Gestión de Seguridad de Información (SGSI)
Basado en la Norma ISO/IEC27001 para mejorar la Seguridad del Área de
Operaciones y Tecnología de Global BPO Center Allus Chiclayo - 2015”
desarrollada en la Universidad Nacional Pedro Ruiz Gallo, lo cual tiene como
objetivos realizar un diagnóstico de los procesos de negocio de la seguridad
de la información de Global BPO Center Allus Chiclayo, también evaluar los
activos de información del área de Operaciones y Tecnología a través de una
metodología de trabajo con encuestas y entrevistas, además identificar los
riesgos aplicando la Norma ISO/IEC27001 del sistema de la información de
Global BPO Center Allus Chiclayo para gestionarlos o eliminarlos y definir las
políticas, normas y procedimientos de seguridad que garanticen la
confidencialidad, integridad y disponibilidad de la información.

Daniel Santos (2016) en su tesis titulada “Establecimiento, implementación,

mantenimiento y mejora de un sistema de gestión de seguridad de la
información, basado en la ISO/IEC 27001:2013, para una empresa de
consultoría de software” tuvo como objetivo confrontar los riesgos potenciales
que pueden comprometer el éxito e incluso la subsistencia de la
organización; la solución planteada para este problema es un Sistema de
Gestión de Seguridad de Información (SGSI), el cual cuenta con el estándar
ISO 27001:2013 como marco formal de requisitos a cumplir. Este sistema
permitirá que los directivos y demás involucrados gestionen y tomen
decisiones adecuadas respecto a la seguridad de información de la
organización, para asegurar que cuente con niveles adecuados respecto a la
confidencialidad, integridad y disponibilidad de la información crítica que se
maneja como parte de su operación.

2.1.2. Internacionales
La autora Molina, Beatriz, (2018). Presenta el siguiente trabajo de
investigación titulado “Desarrollo de un plan director de seguridad para la
implementación de un SGSI basado en la norma ISO/IEC 27001”, tiene como
objetivo profundizar el análisis de los sistemas de información en las
organizaciones estableciendo los niveles de seguridad para mejorar el estado
actual de las empresas. Asimismo, el proyecto está propuesto para todas las
organizaciones públicas y privadas que requieran seguridad en protección de
los datos, y de esa manera se gestiona de forma eficaz la vulnerabilidad de
datos de las empresas. luego de haber concluido el proyecto se llegó a la
conclusión de que cualquiera empresa puede gestionar la seguridad de
información con ciertos servicios de calidad.
El autor Lanche, Darwin (2015) muestra el siguiente trabajo de investigación
titulado “Diseño de un Sistema de Gestión de la Seguridad de la Información
para la empresa ACOTECNIC Cía. Ltda. Basado en la norma ISO/IEC
27001”, lo cuál tiene como objetivos brindar un diagnóstico del estado de la
seguridad de la información en la compañía mediante el levantamiento de
información y las políticas existentes relacionadas a la seguridad de la
información, además determinar los riesgos existentes para el Sistema de
Seguridad de la Información en base a las recomendaciones dadas por la
normativa ISO/IEC 27001, también determinar las amenazas debido al factor
humano y definir una estrategia para cambiar comportamientos que pudieran
afectar al Sistema de Gestión de Seguridad de la Información y por último
plantear los lineamientos base para determinar las políticas de seguridad más
convenientes para la compañía.

Los autores Angarita, Julio y Bautista, Cindy, (2014). Muestran el siguiente

trabajo de investigación titulado “Diseño de un sistema de gestión de la
seguridad de la información ISO 27001 para la alcaldía de Floridablanca y
plan de acción para su implementación según la guía PMBOK”, la cual tiene
como objetivo diseñar un sistema de gestión de la seguridad de la
información ISO 27001 con su propósito de preservar la confidencialidad,
integridad y disponibilidad de la información en la alcaldía de Floridablanca
como base para el proceso de gestión de la guía PMBOK. Además, muchas
organizaciones consideran los procesos de gestión de información debido a
los grandes volúmenes de datos que maneja una empresa, por ello el ISO
27001 presenta un modelo que realiza un seguimiento y revisión de mejora
de sistema de gestión de seguridad de la información en cualquier
organización. Se ha concluido que el sistema de gestión de seguridad
expresa el control de los principales activos del diseño e implementación de
controles de sistema.
2.2. Base teórica

¿Qué es un SGSI?
SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la
Seguridad de la Información. Se entiende por información todo aquel conjunto
de datos organizados en poder de una entidad que posean valor para la misma,
independientemente de la forma en que se guarde o transmita (escrita, en
imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada,
enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), y su
origen (de la propia organización o de fuentes externas). (Ampuero Chang,
2016). Este proceso es el que constituye un SGSI, que podría considerarse, por
analogía con una norma tan conocida como ISO 9001, como el sistema de
calidad para la seguridad de la información.

La Seguridad de la Información consiste en la preservación de su

confidencialidad, integridad y disponibilidad, así como de los sistemas
implicados en su tratamiento, dentro de una organización. (Alexander G., 2017).

¿Para qué sirve un SGSI? (Ampuero Chang, 2016)

La información, junto a los procesos y sistemas que hacen uso de ella, son
activos muy importantes de una organización. La confidencialidad, integridad y
disponibilidad de la información sensible pueden llegar a ser esenciales para
mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen
empresarial necesarios para lograr los objetivos de la organización. El
cumplimiento de la legalidad, la adaptación dinámica y puntual a las condiciones
variables del entorno, la protección adecuada de los objetivos de la organización
para asegurar el máximo beneficio de nuevas oportunidades de mejora de la
organización, son algunos de los aspectos fundamentales para la creación de
una metodología para la implementación de un SGSI, es una herramienta de
gran utilidad y de importante ayuda para la gestión de las organizaciones. Con
un SGSI, la organización conoce los riesgos a los que está sometida su
información y los asume, minimiza, transfiere o controla mediante una
metodología sistemática definida, documentada y conocida por todos, que se
revisa y mejora constantemente
¿Qué es un riesgo? (Mejía, 2014)
La palabra Riesgo viene del italiano Risicare, que significa desafiar, retar,
enfrentar; también se define como poner en peligro a una persona, en algunos
escritos se refiere a la proximidad de un daño. El riesgo también es conocido
como la probabilidad de pérdida la cual permite cuantificar el riesgo a diferencia
de la posibilidad de riesgo donde este no se puede cuantificar. El riesgo es
Incertidumbre relacionado con la duda ante la posible ocurrencia de algo que
puede generar pérdidas.

Norma ISO 27001 (Center, 2016)

ISO 27001 es una norma internacional emitida por la Organización Internacional
de Normalización (ISO) y describe cómo gestionar la seguridad de la
información en una empresa. La revisión más reciente de esta norma fue
publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La
primera revisión se publicó en 2005 y fue desarrollada en base a la norma
británica BS 7799-2. ISO 27001 puede ser implementada en cualquier tipo de
organización, con o sin fines de lucro, privada o pública, pequeña o grande. Está
redactada por los mejores especialistas del mundo en el tema y proporciona una
metodología para implementar la gestión de la seguridad de la información en
una organización. También permite que una empresa sea certificada; esto
significa que una entidad de certificación independiente confirma que la
seguridad de la información ha sido implementada en esa organización en
cumplimiento con la norma ISO 27001, la cual se ha convertido en la principal
norma a nivel mundial para la seguridad de la información y muchas empresas
han certificado su cumplimiento.
III. METODOLOGÍA

La metodología que se ha propuesto tiene como objetivo cumplir con los objetivos
específicos identificados, para lograr el objetivo general de la investigación, teniendo
en cuenta el marco de referencia NTC-ISO-IEC 27001:2013, que especifica los
requerimientos, objetivos de control y actividades que se deben desarrollar para el
diseño del SGSI.

El método de investigación utilizado para diseñar y mejorar el modelo de sistema de

gestión de seguridad de la información de Financiera oh SA es un método
cuantitativo, tomado como referencia, pero este estudio se enfoca en comprender
las cosas actuales explorándolas desde el punto de vista del usuario, participantes
en su entorno natural y en relación con su contexto.

3.1 Tipo y diseño de investigación

Tipo de Investigación
Este trabajo de investigación se desarrolla en la dirección de aplicación y
descripción, en el cual se propone una solución al problema, en el cual se
determinan los resultados y estados del objeto de investigación, el cual es un
modelo, dando causas que originaron los hechos.

Diseño de Investigación
La presente investigación tiene como diseño de investigación descriptiva consiste en
llegar a conocer las situaciones, y actitudes predominantes a través de la
descripción exacta de las actividades, objetos, procesos y personas. La
investigación descriptiva se convierte en la base de otros tipos de investigación,
debido a que de alguna manera tienen aspectos de carácter descriptivo.
 3.2 Categorías, subcategorías y matriz de categorización.

Ámbito Problema de Preguntas de Objetivo Objetivos

Categorías Subcategorías
temático investigación investigación general específicos

Análisis de
Identificar la sistemas de
matriz de información.

análisis de Análisis de Análisis de

riesgos
riesgo dentro de amenazas.

financiera oh. Análisis de

Potencial ¿De qué manera
Mejorar el vulnerabilidades.
problema en el influye el
Sistema de
área de mejoramiento de Evaluación al
Gestión en Determinar las
plataforma, un Sistema de personal de
Seguridad falenciasdel Evaluación atención.
SGSI para altos índices de Gestión en de
de Ia SGSI actual de
la fraudes, Seguridad de la información. Evaluación de
Información financiera oh sistemas de
Empresa infracción de Información información.
en el área
Financiera las políticas de (SGSI) en el área
de
OH S.A. seguridad de la de Plataforma de
plataforma, Realizar una
información y atención al cliente
dentro la mejora del SGSI
usos indebidos de la empresa
financiera de financiera oh, Identificar
de los correos financiera OH S.A
Oh evitando necesidades.
corporativos. , 2022?
pérdidas Plan de
Establecer
mejora.
financieras a prioridades.

causa de los Reportar.

fraudes
bancarios.

3.3 Escenario de estudio

Se eligió como escenario para la realización del presente estudio de investigación,
las instalaciones internas de la empresa “financiera OH”; ya que se consideró que
es un lugar apropiado para obtener información relevante que permita cumplir con
los propósitos de estudio del presente trabajo de investigación. Además, se
obtendrá información adicional para futuras investigaciones a plantear, es decir, que
la información recolectada servirá como una base para plantear futuros estudios.
3.4 Participantes
Jefe de área
Proporcionar los recursos necesarios para el funcionamiento del SGSI.
Asignar la responsabilidad de la seguridad de la información. Participación en
el proceso de revisión de la SGSI.

Responsable de seguridad
Se encarga de asegurar la implementación efectiva de las medidas de
seguridad. Descubre las necesidades de formación e inicia las acciones
oportunas. Mantiene el SGSI actualizado con elementos que lo respalden.

Responsable de sistemas
Implementa las medidas de seguridad seleccionadas para reducir los riesgos.
Supervisar el funcionamiento de los activos de información y las medidas de
seguridad aplicadas a los mismos.

Asesores de Plataforma
Conoce y cumple con los términos establecidos en las políticas de seguridad
que se van a implementar. Notifica de cualquier incidencia de seguridad que
suceda en las instalaciones.

3.5 Técnicas e instrumentos de recolección de datos.

Según Lopez Roldán (2016), nos menciona que la encuesta se emplea de manera
eficiente en la recopilación de información para apoyar los resultados, y que las
técnicas que por la manera en la que se presenta el proyecto, el uso de una
encuesta en la recopilación de información es apropiado. Por esto mismo vemos
que:
La encuesta, está basada en un conjunto de preguntas redactadas por medio de las
dimensiones de la variable y tipo de variable.
Para el desarrollo del presente trabajo de grado, se utilizaron los siguientes
mecanismos e instrumentos para la recolección de información:
● Cuestionario.
● Observaciones.
 ● Documentación existente en la empresa que se relacione con la seguridad de
la información.
● Evaluación con base en la experiencia del autor.

3.6 Procedimiento.
Para llevar a cabo este presente trabajo de investigación se realizaron una serie de
procedimientos , pasando a detallar en las siguientes líneas:
● Se llegó a coordinar con el encargado de la Financiera Oh S.A para poder
contar con la aprobación y de esa manera obtener la información confiable
y verídica de la empresa
● Se realizó la matriz categorización para poder tener organizadamente el
problema de investigación , la pregunta de investigación , el objetivo general ,
objetivo específico , las categorías y finalmente las sub categorías del informe
a realizar
Objetivos Categoría Subcategoría Pregunta Fuentes Técnicas
orientadora

Identificar los ● Riesgos ¿Cómo califica Empleados Entrevista

Identificar la riesgos de la en el área la seguridad de
matriz de empresa de la información encuesta
producció en el área de
análisis de n producción?
riesgo dentro ● Riesgos ¿Cómo califica
en el área usted la
de financiera de gestión seguridad en el
oh área de
gestión ?

Procesar los ● Análisis de ¿Considera Empleados Entrevista

riesgos con datos seguro el modo
respecto a su ● Desarrollo en que se encuesta
entorno de una analizan los
solución datos en la
empresa?
¿Cómo
solucionaría los
riesgos en la
empresa?

Hallar una ● Solución ¿Ha observado Empleados Entrevista

solución para para el soluciones en su
los riesgos área de entorno de encuesta
producció trabajo con
n respecto a los
● Solución riesgos en la
para el parte de
área de producción?
gestión ¿Ha observado
soluciones en su
entorno de
trabajo con
respecto a los
riesgos en la
parte de
gestión?

Identificación ● Fallos en ¿Corregiría algo Empleados Entrevista

Determinar de fallos el área de en el entorno de
las falencias producció producción? encuesta
n ¿Corregiría algo
del SGSI ● Fallos en en el área de
actual de el área de gestión?
gestión
 Análisis de ● Análisis de ¿Con los errores Empleados Entrevista
financiera oh fallos datos corregidos cree
● Desarrollo que su entorno encuesta
de un plan de trabajo
de mejoraría?
contingenc ¿Ha observado
ia planes de
corregir los fallos
en la empresa?

Prevención ● Implement ¿Ha observado Empleados Entrevista

de fallos ación del mejoras en el
plan entorno de encuesta
● Observaci trabajo?
ón ¿Que se mejoró
en su entorno de
trabajo?

Análisis de ● Identificaci ¿Cómo califica Empleados Entrevista

Realizar una datos del ón de sus el sistema de
mejora del SGSI partes información de encuesta
● Análisis de su empresa?
SGSI de estado ¿Ha identificado
financiera errores o
demoras?
evitando
Diagnóstico ● Identificaci ¿Qué errores ha Empleados Entrevista
pérdidas del estado ón de hallado?
financieras a del SGSI puntos ¿Cómo encuesta
● Realizació mejoraría esos
causa de los n de plan errores?
fraudes de mejora
bancarios.

Optimización ● Mejora en ¿Ha visto Empleados Entrevista

del SGSI el área de cambios en el
producció area de encuesta
n producción?
● Mejora en ¿Ha visto
el área de cambios en el
gestión area de gestión?
3.7 Rigor científico.
Según Castillo, Edelmira; Vásquez, Martha Lucía (2003), la calidad de un estudio
está determinada, en buena parte, por el rigor metodológico con que se realizó. Los
Los estándares de calidad para los estudios cuantitativos están muy definidos y son
conocidos universalmente, pero este no es el caso para los estudios cualitativos. Sin
embargo, existen algunos criterios que permiten evaluar el rigor y la calidad
científica de los estudios cualitativos y sobre los cuales hay acuerdo parcial. Estos
criterios son: la credibilidad, la auditabilidad o confirmabilidad y la transferibilidad o
aplicabilidad. La credibilidad se logra cuando los hallazgos del estudio son
reconocidos como “reales” o “verdaderos” por las personas que participaron en el
estudio y por aquellas que han experimentado o estado en contacto con el
fenómeno investigado. La confirmabilidad se refiere a la neutralidad de la
interpretación o análisis de la información, que se logra cuando otro investigador
puede seguir “la pista” al investigador original y llegar a hallazgos similares. La
transferibilidad consiste en la posibilidad de transferir los resultados a otros
contextos o grupos.

3.8 Método de análisis de datos.

Análisis Exploratorio: Se utilizará el software estadístico SPSS en sus siglas en

inglés (Statistical Package for the Social Sciences) y Excel perteneciente a Microsoft
Office para la realización de gráficos en sus frecuencias de Gráficos Tabular y
Gráficos de Barras.

Análisis Descriptivo: Se verificarán las variables de estudio utilizando las pruebas

de fiabilidad, así como la verificación de las hipótesis formuladas a través de la
prueba de Alfa de Cronbach basados en elementos estandarizados.

Validación del trabajo:

Se buscó la aprobación de la empresa “FINANCIERA OH” en todo el transcurso del
proyecto. Por ello mismo todos los procesos y análisis que el grupo trabajo está
validado por la empresa.

3.9 Aspectos éticos.

Según Vianey y Viorato (2018), al no cumplir con los aspectos éticos en una
investigación este puede salir mal al momento de su aplicación u en la
demostración, poniendo a prueba el profesionalismo del investigador. En este
sentido, los aspectos éticos se deben de utilizar en cualquier investigación, con
ideas auténticas y únicas que darán un mejor resultado y calidad al tema de estudio
(p.42).
Ante ello, los datos obtenidos en esta presente investigación fueron recogidos por el
grupo de trabajo y procesado de manera adecuada con total legalidad. Así mismo,
las personas encuestadas se mantendrán de manera anónima con el fin de
salvaguardarlos y no sean perjudicados en su centro de trabajo u otro lugar. A su
vez, el marco teórico que se describe se reunió de acuerdo a los parámetros que
establece la universidad dentro de sus políticas en su guía de elaboración de
Productos de investigación formativa en el año 2021, evitando plagios de cualquier
investigación anterior. Finalmente los resultados obtenidos fueron fruto del análisis
obtenido en las encuestas mencionadas anteriormente evitando cualquier forma de
copia.

IV. RESULTADOS

4.1 Tabulación de Cuestionario.

1. ¿Cómo califica la seguridad de la información de los clientes de
Financiera oh para actualizar sus datos?

Objetivo: Determinar si el proceso de actualización de datos, al punto

de vista del asesor de crédito, el procedimiento garantiza la seguridad
del cliente.

Gráfica N° 1

Comentario: De acuerdo con la información obtenida se determina

que aproximadamente solo un 10% del grupo de colaboradores
entrevistados indican que el procedimiento es seguro, pero más de un
30% aún prevalece con duda de cierta seguridad y un 48% indica que
es totalmente insegura.

2. ¿Cómo califica la seguridad interna y respaldo que recibe de parte de

financiera oh en casos de fraudes o intentos de suplantaciones?

Objetivo: Determinar si los colaboradores de la empresa se sienten

seguros en su centro de labor, ya que manejan información y activos
valiosos.
 Gráfica N° 2

Comentario: De acuerdo con la información obtenida más del 50%

indica que la seguridad es regular a muy mala, y menos de la mitad
indica que es buena.

3. ¿Con qué frecuencia suele ver reclamos de clientes por fraudes?

Objetivo: Se desea validar la frecuencia en la que los clientes de

financiera oh son víctimas de fraudes.

Gráfica N° 3
 Comentario: De acuerdo con la información obtenida en la diversas
sedes de Lima se llega a determinar que más de 50% de los reclamos
son por fraudes a los clientes.

4. ¿Con qué frecuencia suele compartir tus usuarios con tus compañeros
de trabajo?

Objetivo: Determinar si la seguridad de la confidencialidad de

usuarios se practica en el área de plataforma de la financiera.

Gráfica N° 4

Comentario: De acuerdo con la información obtenida no hay una

práctica de confidencialidad de usuarios entre colaboradores, ya que
entre 35% y 20 % marco que suele compartir sus usuarios.

5. ¿Con qué frecuencia su supervisor te detalla las políticas de seguridad

de información de confidencialidad de usuarios que se deben cumplir
en tu área de labor?

Objetivo: Determinar si el supervisor de área , recurrentemente se

encarga de que las políticas se cumplan y que sus colaboradores
tengan conocimiento de estas.
 Gráfica N° 5

Comentario: De acuerdo con la información obtenida que más del

50% indica que el supervisor nunca menciona las políticas de
seguridad de confidencialidad de usuarios , nos confirma el por que de
los porcentajes altos de la pregunta n°5.

6. ¿Con qué frecuencia se mencionan las sanciones sobre el

incumplimiento de la normativa de Seguridad de la Información?

Objetivo: Conocer si el colaborador es consciente de las

consecuencias de las irregularidades dentro del centro de trabajo.
Para así no llegar a cometerlas.
 Gráfica N° 6

Comentario: De acuerdo con la información obtenida se puede

apreciar que más de la mitad de colaboradores no tiene conocimiento
de las sanciones que se aplican cuando se infringen con las normas
de seguridad de información.

7. ¿Con qué frecuencia tu correo corporativo lo utilizas para recibir o

enviar información a tus clientes crediticios?

Objetivo: Conocer la frecuencia del uso de los correos corporativos

para envíos y recepción de información externa.
 Gráfica N° 7

Comentario: De acuerdo con la información obtenida entre un 80% de

colaboradores utiliza este medio para enviar y recibir información de
sus clientes.

8. ¿Con qué frecuencia su supervisor te detalla las políticas de seguridad

de información de los correos corporativos que se deben cumplir en tu
área de labor?

Objetivo: Determinar si el supervisor de área, de manera recurrente

detalla las políticas de seguridad de los correos electrónicos dentro de
la empresa.

Gráfica N° 8

Comentario: De acuerdo con la información obtenida el 59% de la

población encuestada respondió que el supervisor casi nunca detalla
las políticas de información respecto al uso de los correos corporativos
con el fin de cumplir sus labores. A su vez, el 20% afirmó que a veces
si lo hace.

9. ¿Con qué frecuencia sueles recibir correos no deseados?

 Objetivo: Saber si la empresa está en la mira de hackers o intentos de
vulnerar el sistema bancario

Gráfica N° 9

Comentario: De acuerdo con la información obtenida un 47% indica

casi siempre y 29% indica siempre , que es más de la mitad de la
población encuestada, lo que determina que es muy importante
implementar métodos de seguridad y reforzar las políticas sobre la
seguridad en los correos corporativos.

10. ¿Alguna vez has gestionado tu cartera de clientes fuera de tu área de

labor?
 Objetivo: Determinar si se está extrayendo datos confidenciales de los
clientes de la empresa y está siendo usados externamente.

Gráfica N° 10

Comentario: De acuerdo con la información obtenida la gran mayoría

de colaboradores, más de la mitad utiliza la base de datos de la
empresa para gestionar sus créditos fuera de su área laboral.
haciendo un riesgo sobre la protección de datos personales del cliente.

11. ¿Has atendido a algún cliente sin su DNI , como excepción?

Objetivo: Garantizar que los procesos bancarios se estén realizando

de manera correcta y se eviten fraudes o suplantaciones futuras.
 Gráfica N° 11

Comentario: De acuerdo con la información obtenida podemos

observar que no se está cumpliendo con los protocolos de seguridad
de atender a un cliente con DNI que es el más fundamental de todos.
pues más de la mitad de asesores ha realizado esta práctica.

12. ¿Se te informa de las nuevas modalidades de fraudes bancarios que

suelen suceder?

Objetivo: Conocer la información que manejan los asesores y cuán

actualizados están acerca de las nuevas modalidades de fraudes.

Gráfica N° 12

Comentario: Podemos observar que solo un 9% del total de asesores

es informado acerca de las nuevas modalidades de fraudes, y más de
la mitad casi nunca recibe esta información.
13. ¿Cuando detectan una vulnerabilidad en el sistema lo reportas?

Objetivo: Determinar si los colaboradores tienen conocimiento a qué

área reportar una vulnerabilidad o si pasan por alto este proceso
importante.

Gráfica N° 13

Comentario: El porcentaje que se observa donde los colaboradores si

reportan estos casos es de 17% , lo que determina que en muchas
ocasiones este proceso se pasa por alto y puede llegar a generar
pérdidas para la empresa.

14. ¿Puedes obtener los datos de un cliente fácilmente en tu área de

trabajo?
Objetivo: Determinar la restricciones que se tiene dentro del área de
plataforma , acerca de la accesibilidad de datos importantes de un
cliente.

Gráfica N° 14

Comentario: De acuerdo con la información obtenida no hay

restricciones con la información y datos confidenciales de un cliente.
Todos los asesores tienen acceso al sistema reniec.
15. ¿Menciona el motivo por el cual suelen acercarse más los clientes a
reclamar?

Objetivo: Conocer el foco por el cual los clientes reclaman con más
recurrencia , y poder dar conformidad de que hay vulnerabilidad en el
SGSI de la empresa

Gráfica N° 15

Comentario: De acuerdo con la información obtenida los motivos más

representativos son de Fraude y Consumos no reconocidos
 16. ¿Alguna vez te han ofrecido dinero para ser cómplice de un fraude
interno?

Objetivo: Determinar la fidelización de los trabajadores hacia la

empresa y su estado de ética.

Gráfica N° 16

Comentario: De acuerdo con la información obtenida un 55% de los

trabajadores no ha tenido alguna propuesta de dinero para ser
cómplice de algún fraude o delito dentro de la empresa, sin embargo,
el 24% si ha recibido alguna propuesta, dando a indicar que hay
personas de fraudulentas que quieren obtener datos de la empresa.

V. DISCUSIÓN

El mejoramiento del SGSI de Financiera permitirá minimizar el riesgo en los

activos de información por lo cual es necesario que estos proyectos sean
aplicados correctamente . El SGSI va a influir de manera positiva en el
proceso de gestión de riesgos de la empresa Financiera oh SA y bajo esta
metodología se logró identificar el nivel de riesgos, amenazas y
vulnerabilidades presentes en la empresa, estableciendo medidas de control
para mitigar el mismo.
 Como se observa en los gráficos y de la información obtenida, la razón por la
cual el porcentaje de reclamos por consumos no reconocidos y fraudes se
deba a un incumplimiento de la política de seguridad de la información dentro
de la empresa por los propios trabajadores. De parte de la empresa a su vez
no ha mejorado la seguridad física que debe tener estos tipos de
establecimientos lo que conlleva a ser un foco importante de
ciberdelincuentes.

Los empleados desconocen los riesgos que vienen siendo acechados, y peor
aún carecen de información de las sanciones que se dan por incumplimientos
de normativas. Sin estas mejoras vemos como resultado el alto índice de
pérdida de utilidades anualmente a causa de fraudes o robos.

Y como se observa en los resultados obtenidos, los clientes no están

conformes con el servicio de seguridad que brinda la financiera Oh, lo cual
nos indica que el nivel de satisfacción del cliente es bajo, dado su
inconformidad con su seguridad interna o los casos que hubieron de
consumo no reconocido. Esto mismo nos da a entender que el estudio que
estamos realizando brindaría un beneficio a la empresa, dado que si
logramos un cumplimiento exitoso de la mejora del SGSI en la empresa, los
reclamos y quejas por fallas de seguridad que afecten a los clientes se verían
reducidos.

VI. CONCLUSIONES
● Se concluye en la presente investigación un declive en el correcto manejo del
sistema de gestión de la seguridad de la información dentro de la financiera
Oh, determinando su actual matriz de riesgos focalizada en las sedes de
Lima-Metropolitana, hallando valores de riesgo para los procesos actuales de
la empresa.
● Trazando una gestión adecuada del Sistema de Seguridad en la empresa
Financiera Oh podemos identificar de una manera más eficiente los riesgos.
● Al gestionar los sistemas de seguridad en el área de plataforma podemos
identificar las falencias en el área de SGSI en la empresa Financiera Oh.
 ● Al realizar una gestión adecuada de los servicios de seguridad en la empresa
Financiera Oh, se ha visto una mejora en el SGSI de la empresa, librando
encuentros con pérdidas financieras.

VII. RECOMENDACIONES
● La empresa debe gestionar un servicio de seguridad con una empresa
tercera que genera confianza tanto a sus colaboradores, como a sus clientes.
Ya que al observar a una entidad financiera, libre de seguridad o resguardo
se convierte en un principal blanco de ataque de ciberdelincuentes.
● Financiera oh , debe de actualizar el proceso de actualización de datos del
cliente que son Correo electronico y numero de celular. Debería de analizar y
encontrar una estrategia de validación del cliente muy aparte del DNI , como
por ejemplo huella digital y reconocimiento facial.
● Las políticas de seguridad de la información deben ser instruidas muy a
menudo, mayormente en el área de plataforma, estas se deben realizar
mediante reuniones o conferencias. A su vez deben ser reforzadas por los
jefes de cada plataforma.
● Las sanciones por incumplimiento de normas deben estar visibles en cada
plataforma , esto generará que los colaboradores cumplan con sus procesos
correctamente.

REFERENCIAS

CARREÑO BALCÁZAR, Ivonne Tatiana; MENDOZA CABREJO, Sebastián;

MONTAÑEZ USME, Mateo Simón José. Diseño de un SGSI para una
empresa del sector salud basado en el estándar ISO 27001: 2013. 2022.

JARA PÉREZ, Diana Fernanda, et al. Valoración y Plan de Tratamiento de

Riesgos de Seguridad de la Información para los Procesos Incluidos en el
Alcance del SGSI del Cliente TGE de la Empresa ASSURANCE
CONTROLTECH. 2018.
 LÓPEZ-ROLDÁN, Pedro; FACHELLI, Sandra. La encuesta. Metodología de
la investigación social cuantitativa, 2016.

RECALDE CAICEDO, Julia Patricia. Plan de implementación de un SGSI y

aplicación de controles críticos en el centro de operaciones de seguridad en
la empresa GMS. 2019. Tesis de Licenciatura. Quito, 2019.

RIOS MIRANDA, Elisban Enrique. SGSI bajo el marco normativo ISO 27001
en el proceso de control de accesos para una empresa: una revisión científica
de los últimos 9 años. 2021.

ZAPATA MORAN, Diana Stefany. Análisis de factores críticos de éxito para la

implementación de un Sistema de Gestión de Seguridad de la Información
(SGSI) en la empresa Inversiones Prisco SAC–Sechura. 2021.

ANEXOS

Anexo 1: Acta de constitución de proyecto - Políticas de seguridad.

Anexo 2: Acta de constitución del proyecto - Implementación de ASO